同レポートでは、2014年1月1日~3月31日の期間に観測した、日本宛のパケットを中心に分析、公表している。
同四半期に観測した宛先ポート番号別パケット観測数のトップ5は、次のとおり。
宛先ポート番号トップ5
2013年第4四半期
445/TCP (microsoft-ds)
0/ICMP
1433/TCP (ms-sql-s)
22/TCP (ssh)
3389/TCP (ms-wbt-server)
2014年第1四半期
445/TCP (microsoft-ds)
23/TCP (telnet)
22/TCP (ssh)
0/ICMP
1433/TCP (ms-sql-s)
図では、期間中のトップ5の宛先ポート番号ごとのパケット観測数の時間的な変化を示している。
|
また、同四半期に観測した送信元地域のトップ5もあわせて公表されている。
送信元地域トップ5
2013年10~12月
中国
米国
オランダ
日本
ロシア
2014年1~ 3月
中国
米国
日本
オランダ
韓国
図では、期間中のパケット送信元地域トップ5の変化を示している。
|
レポートによると、1月下旬以降において445/TCPと23/TCP宛のパケット数が増加。2月中旬に送信元地域を日本とするパケット数の増加が見られた。これは、特定のセンサーが13832/TCP、43962/TCP、12591/TCP宛のパケットを多数受信した影響だという。
JPCERT /CCでは、これらのポートを使用する製品や脆弱性などの情報を調査したが、該当する情報が無かったという。また、特定のセンサー以外では顕著な変化が見られなかったことから、広域的な脅威を示すデータではないと判断している。その他については、多少の増減はあるが、特筆すべき状況の変化は見られなかった。
注目された現象としては、123/UDP(NTP)宛のパケットの増加が同四半期も続いており、特に米国およびオランダを送信元とするパケット数の増加が目立った。
CloudFlare社の情報によると、2月にヨーロッパでNTPサーバが使用された約400Gbpsに達するDDoS攻撃が発生していた。国内に設置した観測用センサーにおいても、NTPサーバの状態を問い合わせる機能(monlist)を使う探索と思われるパケットを定期的に受信している。
同社では、今後も、NTPサーバを探索する活動や、NTPサーバを使用したDDoS攻撃が行われる可能性があるため、「管理下のサーバやネットワーク機器などでNTPサーバの稼働状況を確認し、攻撃に使用されないよう適切なセキュリティ対策 (パッチやアップデート、アクセス制御、セキュリティ設定の再確認など)を実施すべき」と推奨している。
また、同四半期は、1月下旬から、23/TCP宛へのパケット数が増加。telnetを待ち受けるサーバを搭載したネットワーク機器を対象とする探索活動が再び発生している。
同四半期の特徴は、23/TCP宛のパケット数の増加と時期を同じくして2月上旬から5000/TCP宛のパケット数が増加し、同四半期の宛先ポート番号別パケット観測数の6位となっている。これは、マルウエアに感染したネットワーク機器が、宛先をポートを23/TCPだけでなく脆弱性が存在するNASが使用する5000/TCPも探索していたものと推測される。
同四半期に観測した23/TCP、5000/TCP宛のパケットの送信元地域のトップは共に中国で、パケット数の全体のうち23/TCP宛のパケットでは約6割、5000/TCP宛のパケットでは、約3割を中国が占めた。
JPCERT/CCでは、23/TCP、5000/TCP宛へのパケットを送信するIPアドレスについて調査したところ、その多くで外国製の特定のネットワークカメラ製品が稼働していたとし、国内のIPアドレスからの探索活動を観測しており、当該製品が設置されていたことを確認した。
インターネット上に設置されたネットワークカメラやNASなどのネットワーク機器も探索の対象となっているので、これらの機器においても適切なセキュリティ対策 (パッチやアップデート、アクセス制御、セキュリティ設定の再確認など) の実施が推奨されている。
